Meteen naar de inhoud
Werk slimmer met onze nieuwe, verbeterde navigatie!
Ontdek hoe IO naleving eenvoudiger maakt. Lees de blog
ISMS.online

A.8.7 Bescherming tegen malware – MSP EDR & Anti-Malware basislijnen

Ransomware-aanvallers richten zich nu op MSP's voor een snelle, wijdverspreide impact, waardoor 'goed genoeg' malwarebescherming tot het verleden behoort. ISO 27001 A.8.7 vereist meer dan alleen software: uw controlemechanismen moeten worden gedefinieerd, bewaakt en controleerbaar zijn voor alle clients. Toon vertrouwen en paraatheid door uw services af te stemmen op nieuwe basisverwachtingen, niet alleen op productnamen.

Auteur
Mark Sharron
Bijgewerkt december 1, 2025
4 / 5 sterren

De nieuwe ransomware-realiteit voor MSP's

Ransomware beschouwt uw MSP steeds vaker als de snelste route naar tientallen clientomgevingen tegelijk. Aanvallers richten zich op uw externe toegang, beheerplatforms en gedeelde beheerdersaccounts, zodat één enkele inbreuk zich over meerdere tenants kan verspreiden. Dat betekent dat 'goed genoeg' malwarebescherming niet langer alleen een keuze is voor een endpointproduct; het gaat om uw vermogen om een ​​incident te beheersen voordat het een multi-tenant crisis wordt en om klanten en auditors te laten zien dat u dit consistent kunt doen.

Die verschuiving is belangrijk omdat het verandert hoe 'goed genoeg' eruitziet. Endpointtools op zichzelf zijn slechts één element in een bredere controle: hoe u ze configureert, hoe u ze monitort, hoe u reageert en hoe u dat allemaal aan anderen demonstreert. Tegelijkertijd stellen klanten, verzekeraars en auditors lastigere vragen over hoe u endpoints in de praktijk beveiligt, niet alleen over welk productlogo op uw dia's staat. Dreigingsbeoordelingen van wetshandhavingsinstanties, zoals de dreigingsbeoordeling voor ernstige en georganiseerde criminaliteit van Europol, benadrukken dat georganiseerde ransomwaregroepen zich steeds vaker richten op dienstverleners en tussenpersonen om de impact op slachtoffers te maximaliseren, en dat is precies de positie die MSP's innemen.

Bijna alle respondenten in het rapport State of Information Security uit 2025 noemen het behalen of behouden van beveiligingscertificeringen zoals ISO 27001 of SOC 2 als topprioriteit.

Voor een goede beveiliging is het vaak minder belangrijk dat u nieuwe tools aanschaft, maar vooral dat uw bestaande tools consistent werken.

Waarom MSP's belangrijke doelwitten zijn

Aanvallers richten zich op MSP's omdat het compromitteren van uw toegang en automatisering hen een bereik geeft dat moeilijk te bereiken is voor één slachtoffer tegelijk. Uw platform voor externe monitoring en beheer, privileged serviceaccounts en updatemechanismen zijn aantrekkelijk omdat ze een aanvaller in staat stellen om zich met een verontrustende snelheid van één gecompromitteerde host naar meerdere clientomgevingen te verplaatsen. Trendrapporten over ransomware in de sector beschrijven herhaaldelijk campagnes waarin kwaadwillenden MSP- of RMM-toegang misbruiken om payloads in één keer naar meerdere klanten te sturen, in plaats van elke organisatie afzonderlijk aan te vallen.

De meeste organisaties die deelnamen aan het State of Information Security-onderzoek van 2025 geven aan dat ze in het afgelopen jaar al te maken hebben gehad met minimaal één beveiligingsincident met een externe partij of leverancier.

Een moderne campagne bestaat vaak uit meerdere stappen. Het kan beginnen met gestolen of gephishte inloggegevens van technici, vervolgens misbruik maken van extern beheer, endpoint agents uitschakelen en uiteindelijk kwaadaardige payloads via uw update- of scriptkanalen pushen. Zodra u zich die volgorde voorstelt, is het de moeite waard om een ​​botte vraag te stellen: als één geprivilegieerd endpoint in uw eigen omgeving wordt gecompromitteerd, hoe ver zou een aanvaller dan kunnen gaan met de toegang en automatisering waar u dagelijks op vertrouwt?

Dat gedachte-experiment is er niet om u te alarmeren; het is er om te benadrukken waar uw huidige bescherming echt zit. Als het eerlijke antwoord is "verder dan we zouden willen", dan is Bijlage A.8.7 een van de middelen die u kunt gebruiken om dat verhaal op een gestructureerde, controleerbare manier aan te scherpen.

Van AV installeren tot een controle uitvoeren

A.8.7 gaat van 'we installeren overal anti-virus' naar 'we voeren een herhaalbare malwarecontrole uit die we kunnen uitleggen en bewijzen'. Dat betekent dat u definieert wat elk beheerd eindpunt moet uitvoeren, hoe het zich moet gedragen en hoe u dat gedrag voor alle tenants bevestigt, in plaats van te vertrouwen op de voorkeuren van individuele engineers of historische productkeuzes.

Voor veel MSP's groeide endpoint security organisch. Verschillende engineers gaven de voorkeur aan verschillende leveranciers, sommige klanten wilden een oud antivirusproduct behouden en de basisinstellingen waren gebaseerd op tribale kennis in plaats van een geschreven standaard. De onuitgesproken veronderstelling was dat antivirus overal gelijk stond aan compliance en redelijke zorg.

Bijlage A.8.7 doorbreekt die illusie. De beheersmaatregel verwacht dat bescherming tegen malware wordt ontworpen, geïmplementeerd en ondersteund door gebruikersbewustzijn op een manier die aantoonbaar is. Samenvattingen van de ISO 27001:2022-update vermelden dat de vernieuwde beheersmaatregelen van Bijlage A, inclusief A.8.7, meer nadruk leggen op geïmplementeerde en bewezen technische maatregelen naast gebruikersbewustzijn, in plaats van simpelweg een product te benoemen. In de praktijk betekent dit dat u:

  • Definieer wat elk beheerd eindpunt moet uitvoeren.
  • Stel duidelijke regels op voor updates, scans en reacties.
  • Verzamel bewijs dat deze dingen echt gebeuren.

Zodra u deze verschuiving accepteert, gaat het gesprek niet langer over welke leverancier het beste is, maar over hoe u het gedrag kunt standaardiseren voor alle apparaten en gebruikers die u beheert.

Demo boeken


Wat ISO 27001:2022 A.8.7 daadwerkelijk van MSP-diensten eist

Van een MSP verwacht A.8.7 dat u malwarebescherming uitvoert als een gedocumenteerde, gecontroleerde controle die technologie, configuratie, proces en gebruikersbewustzijn combineert, en dat u dit kunt aantonen aan auditors en klanten, in plaats van alleen te stellen dat u "een EDR-tool gebruikt". Commentaar op de herziening van ISO 27001 in 2022 benadrukt dat Bijlage A.8.7 bedoeld is om gedocumenteerde, gecontroleerde malwarecontroles te stimuleren, ondersteund door gebruikersbewustzijn, in plaats van een simpel selectievakje dat een vorm van anti-malware aanwezig is. Hoewel Bijlage A.8.7 kort is in de norm, is de bedoeling duidelijk: implementeer bescherming tegen malware, ondersteun dit met passend gebruikersbewustzijn zodat informatie en andere bijbehorende assets beschermd zijn, en zorg dat u die combinatie in de praktijk kunt uitleggen en demonstreren. Als u endpoint security voor klanten host, exploiteert of beheert, spelen uw services daarom een ​​belangrijke rol in de manier waarop zij voldoen aan A.8.7. De echte vraag is niet alleen of u moderne tools gebruikt, maar of uw tools, instellingen en processen samen leveren wat de controle verwacht.

Uit het rapport 'State of Information Security 2025' blijkt dat klanten steeds vaker van leveranciers verwachten dat zij zich houden aan formele kaders zoals ISO 27001, ISO 27701, AVG, Cyber ​​Essentials en SOC 2, naast opkomende AI-normen.

De controle in duidelijke taal

Zonder de formele bewoordingen verwacht A.8.7 dat u passende malwarebescherming implementeert, deze effectief houdt, de gevonden malware in de gaten houdt en gebruikers ondersteunt, zodat malwarerisico's binnen acceptabele grenzen blijven. De tool is net zo geïnteresseerd in hoe mensen zich gedragen en hoe u reageert als in de agent die op een apparaat is geïnstalleerd. In de praktijk vraagt ​​de tool u om:

  • Zorg voor geschikte anti-malware- of eindpuntbeveiliging op de relevante systemen.
  • Zorg ervoor dat deze beveiligingen up-to-date en veilig geconfigureerd zijn.
  • Houd detecties en incidenten in de gaten en reageer tijdig.
  • Helpt gebruikers verdachte activiteiten te herkennen en te melden.

Voor u roept dat direct praktische vragen op. Waar zijn deze verwachtingen vastgelegd in uw eigen beleid en normen? Sluiten uw servicebeschrijvingen en draaiboeken hierop aan? Kunt u, wanneer een klant vraagt ​​hoe u hun compliance ondersteunt, verwijzen naar specifieke documenten en dashboards die A.8.7 in actie laten zien, in plaats van alleen de namen van tools op te noemen?

Hoe accountants A.8.7 voor MSP's interpreteren

Auditors zoeken doorgaans naar een aantal consistente thema's bij het beoordelen van A.8.7 in MSP-omgevingen. Ze willen zien dat u en uw klanten hebben gedefinieerd hoe malwarebescherming zou moeten werken, deze consistent hebben geïmplementeerd, de gebruikers hiervan bewust hebben gemaakt en regelmatig hebben gecontroleerd of deze nog steeds naar behoren werkt. Toezicht op audits en verantwoordingsplicht in bredere zin laat vaak hetzelfde patroon zien: duidelijke beleidsregels en standaarden, gedefinieerde baselines en bewijs dat controles werken zoals beschreven. Veel auditors in de private sector hanteren vergelijkbare verwachtingen bij het beoordelen van beveiligingsmaatregelen.

In een MSP-context betekent dit vaak het onderzoeken van uw malware- of endpointbeveiligingsbeleid, uw basisconfiguraties voor verschillende apparaattypen, het nemen van steekproeven van endpoints om te bevestigen dat agents en beleid worden toegepast, en het beoordelen van incidentregistraties, trainingslogs en bewustmakingscampagnes. Wanneer uw services deel uitmaken van het ISMS van een klant, zullen auditors onderzoeken hoe verantwoordelijkheden worden gedeeld: welke endpoints u beveiligt, welke de klant beheert en hoe u incidenten, training en uitzonderingen coördineert.

Als uw antwoorden verspreid zijn over servicecatalogi, e-mails en het geheugen van engineers, zult u deze vragen stressvol vinden. Als u A.8.7 daarentegen als een service design-probleem behandelt, kunt u lang voordat een auditdatum zich aandient een coherente verdieping voorbereiden. Een ISMS-platform zoals ISMS.online kan u helpen deze verwachtingen te documenteren, ze te koppelen aan Bijlage A.8.7 en bewijsmateriaal af te stemmen op de controle, zodat u een consistent verhaal paraat hebt wanneer iemand vraagt: "Laat het me zien".

Dit overzicht bevat algemene informatie over A.8.7, geen juridisch of certificeringsadvies. Raadpleeg voor bindende beslissingen altijd de officiële norm en, indien van toepassing, gekwalificeerde adviseurs.



ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Bedreigingsvectoren A.8.7 verwacht dat u alle huurders bestrijkt

A.8.7 verwacht dat u de belangrijkste routes begrijpt waarlangs malware uw eigen omgeving en die van uw klanten kan binnendringen en zich daar kan verspreiden, en dat u verstandige, gecontroleerde controles rond die routes instelt. Voor een MSP betekent dit dat u verder kijkt dan "kwaadaardige bestanden" en rekening houdt met e-mail, internet, externe tools, verwisselbare media en misbruik van legitieme beheerfuncties binnen meerdere tenants.

Malware bereikt uw beheerde omgevingen via een klein aantal herhaalbare routes die aanvallers steeds opnieuw gebruiken. Het komt binnen via e-mail, browsers, documenten, verwisselbare media, extern beheer en zelfs legitieme tools die in verkeerde handen worden misbruikt. Uit de richtlijnen voor het opzetten van malwareverdedigingsprogramma's blijkt consequent dat de meeste incidenten in de praktijk voortkomen uit een relatief kleine groep terugkerende infectievectoren. Dit onderstreept de waarde van het eerst focussen op die routes in plaats van te proberen elk hypothetisch scenario tegelijk te behandelen. A.8.7 verwacht dat u alle relevante vectoren in uw omgeving in overweging neemt en maatregelen kiest die het risico tot een acceptabel niveau beperken, gebaseerd op praktijkervaring in plaats van alleen theorie.

Voor een MSP omvatten deze vectoren zowel uw eigen infrastructuur als die van uw klanten. Standaardisatie van bescherming begint daarom met het benoemen van de manieren waarop malware realistisch gezien de door u beheerde systemen kan bereiken en zich daartussen kan verplaatsen, en het controleren hoe uw huidige controles zich verhouden tot die lijst.

Kernpaden voor malware in MSP-domeinen

In veel MSP-omgevingen zijn er een aantal routes die de meeste incidenten in de praktijk veroorzaken: phishing-e-mails en -bijlagen, webdownloads van gecompromitteerde of nepwebsites, misbruik van tools voor externe toegang en agents voor externe monitoring en beheer, geïnfecteerde of niet-vertrouwde verwisselbare media en misbruik van bestaande beheertools. Inzicht in hoe deze zich in uw omgeving manifesteren, geeft u een praktisch startpunt voor het definiëren van uw eigen A.8.7-basislijnen. Community-informatie over malwarebescherming benadrukt herhaaldelijk diezelfde vectoren als dominante infectiebronnen, wat u de zekerheid moet geven dat uw eerste focus daarop aansluit bij de praktijkervaring.

Je hoeft threat intelligence niet helemaal opnieuw uit te vinden om te beginnen. Een praktische stap is om die routes te nemen en voor elk ervan de volgende vragen te stellen:

  • Wat verwachten we dat er vandaag de dag gebeurt als deze vector wordt gebruikt?
  • Hoe weten we dat aan de verwachting wordt voldaan in live-omgevingen?
  • Wie is verantwoordelijk voor het oplossen van eventuele hiaten?

Als het antwoord voor verwijderbare media is "het hangt ervan af wie de machine heeft ingesteld", of voor externe toegang is "we vertrouwen erop dat onze technici geen fouten maken", dan is dat een signaal dat uw A.8.7-implementatie tool-centrisch is in plaats van control-centrisch.

Een eenvoudige tabel kan u helpen bij het structureren van uw gedachten:

vector Hoe het er voor jou uitziet Typische basiscontroles
Phishing / bijlagen Gebruikers op beheerde e-mail- en productiviteitsplatforms E-mailfiltering, scannen van bijlagen, gebruikersopleiding
Webdownloads Browsen vanaf beheerde laptops en desktops Webfiltering, DNS-filtering, browserbeveiliging
Op afstand toegang / RMM Technici die externe hulpmiddelen in clientsystemen gebruiken Sterke autorisatie, goedkeuringen, activiteitsbewaking
Verwijderbare media USB-apparaten aangesloten op eindpunten Poortcontrole, automatisch uitvoeren uitgeschakeld, scannen bij invoegen
Misbruik van beheerdershulpmiddelen Script- en beheerconsoles die worden gebruikt voor bulkwijzigingen Toepassingsbeheer, logging, toegang met minimale privileges

Het doel is niet om vanaf dag één perfect te zijn. Het doel is om het impliciete expliciet te maken, zodat u kunt zien waar uw huidige basislijnen wel en niet overeenkomen met uw risico.

Hoe deze vectoren worden afgebeeld op A.8.7

Onder A.8.7 moet u definiëren hoe u zich beschermt tegen de belangrijke malwareroutes in uw omgeving en aantonen dat deze bescherming in de praktijk wordt toegepast. Dit betekent dat u hebt nagedacht over de belangrijkste vectoren, passende verdedigingsmaatregelen hebt geselecteerd en kunt aantonen dat deze aanwezig zijn en werken. Onderzoek naar risicogebaseerd cybersecuritymanagement ondersteunt het afstemmen van de diepgang en mix van controles op het risicoprofiel van activa en organisaties, in plaats van te proberen overal, ongeacht de context, identieke "maximale" controles af te dwingen.

Voor MSP's betekent dit doorgaans gedocumenteerde verwachtingen voor e-mail- en webfiltering, endpoint agents, veilig gebruik van verwisselbare media, veilig beheer op afstand en procedures voor monitoring, respons en gebruikersbewustzijn wanneer aanvallen worden gedetecteerd. U hoeft niet voor elke klant dezelfde maatregelen te nemen. Een klein, lokaal bedrijf met beperkte externe blootstelling kan redelijkerwijs een eenvoudiger stack gebruiken dan een gereguleerde financiële instelling.

Waar het om gaat, is dat u risicogebaseerd kunt uitleggen waarom een ​​bepaalde huurder een bepaalde combinatie van controles heeft en dat u kunt aantonen dat die controles bestaan ​​en werken. Als u dat kunt, bent u goed op weg om te voldoen aan A.8.7 op een manier die geloofwaardig aanvoelt, zowel tijdens audits als in klantgesprekken.



Herformulering van A.8.7 als een MSP-serviceontwerp- en governanceprobleem

U haalt de meeste waarde uit A.8.7 wanneer u malwarebescherming beschouwt als een ontworpen, beheerde service die u aan al uw klanten levert, in plaats van een vinkje in de audit van iemand anders. Wanneer u het op deze manier bekijkt, kunt u componenten standaardiseren, verantwoordelijkheden verduidelijken en marges verbeteren in plaats van dezelfde brandjes op een iets andere manier voor elke gebruiker te moeten bestrijden.

Veel MSP's komen A.8.7 voor het eerst tegen via een auditvraag van een klant of een RFP-spreadsheet. Het verschijnt als een vraag of u "beschermt tegen malware" en welke tools u gebruikt. Als u het alleen als een selectievakje behandelt, mist u de kans om er een onderscheidende, gestandaardiseerde service van te maken die risico's vermindert en marges verbetert.

Het is beter om A.8.7 te zien als een beschrijving van een service die u levert: een malwarebeveiligingsservice met gedefinieerde componenten, verantwoordelijkheden en bewijsmateriaal, die consistent wordt geleverd aan alle tenants.

Denk in diensten, niet in tools

Denken in diensten dwingt je om te definiëren hoe alle bewegende onderdelen in elkaar passen, niet alleen welke merken je installeert. Gereedschappen maken deel uit van het antwoord, maar ze vormen niet de dienst die je verkoopt of bewijst tegen A.8.7.

Een robuuste malwarebeschermingsservice omvat doorgaans:

  • Duidelijk gedocumenteerde beleidsregels en normen voor malwarebescherming.
  • Gedefinieerde eindpuntbasislijnen voor elk apparaattype en risiconiveau.
  • Processen voor implementatie, updates en gezondheidscontroles.
  • Procedures voor monitoring en waarschuwingsafhandeling.
  • Gebruikersbewustzijn, training en phishingsimulaties.
  • Systemen voor het beheren van uitzonderingen en continue verbetering.

Tools zoals EDR-platforms, systemen voor monitoring op afstand en beveiligde e-mailgateways ondersteunen deze elementen, maar vervangen ze niet. Als u deze componenten schetst, kunt u zich afvragen: "Waar is elk van deze vandaag vastgelegd?" U zult merken dat baselines zich in afzonderlijke projectdocumenten bevinden, monitoringregels in uw EDR-console en bewustwordingsactiviteiten in incidentele e-mails. Door ze samen te brengen onder één servicedefinitie, wordt het eenvoudiger om te beheren, uit te leggen en te beprijzen wat u daadwerkelijk voor klanten doet.

Bestuur, rollen en gedeelde verantwoordelijkheden

Ontwerp zonder governance zal afdrijven. A.8.7 maakt deel uit van een breder informatiebeveiligingsmanagementsysteem dat duidelijkheid vereist over wie wijzigingen kan aanbrengen, risico's kan accepteren en uitzonderingen kan goedkeuren. Zonder die duidelijkheid worden zelfs goede technische controles na verloop van tijd inconsistent en ontstaan ​​er op het slechtste moment geschillen over eigendom.

Ongeveer tweederde van de organisaties die deelnamen aan het ISMS.online-onderzoek uit 2025, geeft aan dat de snelheid en omvang van de veranderingen in de regelgeving het moeilijker maken om aan de regelgeving te voldoen.

Governance voor malwarebescherming betekent bepalen wie de standaard bezit, wie afwijkingen ervan kan goedkeuren, wie verantwoordelijk is voor het monitoren van de uitvoering en hoe beslissingen worden vastgelegd en beoordeeld. Voor een MSP kan dat een security- of compliancemanager, operations managers, accounteigenaren en klantcontactpersonen zijn, allemaal met duidelijk gedefinieerde rollen die zichtbaar zijn in plaats van verborgen in informele overeenkomsten.

Omdat u diensten levert binnen het ISMS van een andere organisatie, is het ook belangrijk om expliciet te zijn over gedeelde verantwoordelijkheden. Welke endpoints, workloads en kanalen moet u beschermen? Welke vallen buiten uw scope? Hoe worden incidenten waarbij beide partijen betrokken zijn gecoördineerd? Uitzonderingen en risicoacceptatie voor malwarecontroles moeten worden vastgelegd in uw ISMS en, indien relevant, worden opgenomen in de Verklaring van Toepasselijkheid van de klant, zodat er later geen onduidelijkheid ontstaat.

Voor MSP-eigenaren die geen security-gerelateerde taken hebben, gaat deze structuur verder dan alleen compliance. Duidelijke rollen, baselines en bewijs verminderen brandjes blussen, creëren herhaalbaar werk en maken winstgevend opschalen eenvoudiger. Een ISMS-platform zoals ISMS.online kan u helpen om deze rollen, documenten en beslissingen op één plek te bewaren, zodat governance zichtbaar en gemakkelijker te monitoren is naarmate het bedrijf groeit.



beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


Het ontwerpen van een gestandaardiseerde, risicogelaagde EDR-basislijn

Met een risicogelaagde EDR en anti-malware basislijn kunt u één keer bepalen hoeveel bescherming verschillende tenants en assets nodig hebben en deze beslissing vervolgens consistent toepassen. In plaats van overal maatwerkconfiguraties te gebruiken, beschikt u over een beperkte set standaardniveaus die zijn afgestemd op risico en de bedrijfscontext en die u kunt uitleggen aan klanten, medewerkers en auditors.

Zodra u A.8.7 bekijkt vanuit het perspectief van service design, kunt u overstappen op een van uw krachtigste tools: een gestandaardiseerde, risicogelaagde baseline voor endpointdetectie en -respons en antimalware. Met een gedeelde baseline kunt u vragen beantwoorden zoals "wat krijgt elk beheerd werkstation minimaal?" of "hoe behandelen we risicovolle endpoints anders?" zonder het wiel voor elke client opnieuw uit te vinden.

Uw risiconiveaus definiëren

Niet elke client of elk apparaat heeft hetzelfde beschermingsniveau nodig, maar elke keuze moet weloverwogen zijn. Een eenvoudige manier om te beginnen is door twee of drie risiconiveaus te creëren die de gevoeligheid van gegevens, de regeldruk, de externe blootstelling en de tolerantie voor downtime weerspiegelen.

Een praktisch risiconiveaumodel groepeert klanten en systemen in niveaus zoals standaard, uitgebreid en hoog risico. Elk niveau wordt vervolgens gekoppeld aan specifieke endpointcontroles, waarbij de diepgang en responsverwachtingen worden bewaakt. Beslissingen over welke huurders en activaklassen in elk niveau vallen, moeten gebaseerd zijn op risicobeoordelingen en de bedrijfscontext, niet alleen op budget of gemak.

Noteer de criteria bij het definiëren van deze niveaus. Zo kan elke huurder die gereguleerde financiële of medische gegevens verwerkt standaard 'verbeterd' worden, terwijl interne beheerwerkstations met brede toegang tot meerdere huurders automatisch in de categorie 'hoog risico' vallen. Door deze regels vast te leggen, is het gemakkelijker om ze te verdedigen tijdens audits en uit te leggen aan klanten en verzekeraars.

Het EDR-basisniveau per niveau opbouwen

Met de niveaus in de hand kunt u voor elk niveau een basislijn definiëren, zodat u van "we gebruiken EDR" overgaat op "dit zijn de minimale mogelijkheden en instellingen die we voor dit risiconiveau verwachten". Die duidelijkheid helpt engineers, accountmanagers en auditors om allemaal dezelfde kant op te kijken.

Een goed ontworpen EDR-basislijn beschrijft minimale mogelijkheden zoals realtime- en gedragsdetectie, centrale beleidscontrole, automatische updates, isolatieopties en het bewaren van logs en telemetrie. Het legt ook configuratie-items vast, zoals welk gedrag wordt geblokkeerd en welk gedrag wordt gewaarschuwd, hoe lang logs worden bewaard en wat telt als een trigger voor menselijke beoordeling of automatische isolatie voor elke risicoklasse.

Bovendien moet de baseline specificeren hoe EDR integreert met andere onderdelen van uw stack: e-mail- en webfiltering aan de front-end, identiteits- en toegangsbeheer voor geprivilegieerde accounts, en ticket- en incidentmanagementsystemen voor follow-up. Een melding die nooit een persoon of proces bereikt, is geen nuttig onderdeel van uw A.8.7-systeem, hoe capabel de technologie erachter ook is.

Het is belangrijk om dit alles af te wegen tegen de operationele realiteit. Huurders met een hoog risico tolereren mogelijk agressievere blokkering en hogere meldingenvolumes; omgevingen met een lager risico geven mogelijk de voorkeur aan een lichtere aanpak. De sleutel is om deze verschillen bewust te definiëren, de impact ervan te meten en de onderbouwing vast te leggen, zodat u deze kunt beoordelen en aanpassen naarmate bedreigingen en bedrijfsbehoeften evolueren.



Anti-malware- en EDR-basislijnen per apparaat en omgevingstype

A.8.7 verwacht ook dat u malwarebescherming op de juiste manier toepast op verschillende apparaten en omgevingen, en niet dat één configuratie voor alles geschikt is: werkstations, servers, beheerderseindpunten, externe gebruikers, virtuele desktops, cloudworkloads en operationele technologie brengen allemaal verschillende risico's en beperkingen met zich mee. Uw basislijnen moeten deze verschillen dus weerspiegelen. Risiconiveaus bepalen de mate van bescherming; apparaat- en omgevingstypen bepalen de vraag waar en hoe deze wordt toegepast, en een effectieve A.8.7-implementatie moet rekening houden met deze realiteiten. Een geloofwaardige A.8.7-aanpak voor een MSP bevat daarom praktische basislijnen voor elke categorie, samen met een duidelijke afhandeling van uitzonderingen wanneer u uw voorkeurscontroles niet kunt toepassen.

In veel MSP-omgevingen domineert een klein aantal endpointcategorieën: gebruikerswerkstations en laptops, servers en privileged admin-endpoints die worden gebruikt om meerdere omgevingen te beheren. Elke categorie heeft een andere rol en een ander risicoprofiel, dus verdient elke categorie een op maat gemaakte maar standaard basislijn.

Voor elke eindpuntcategorie moet een gedocumenteerde basislijn bestaan ​​waarin het volgende wordt beschreven:

  • Welke anti-malware- of EDR-agent moet aanwezig zijn?
  • Welke kernbeveiligingsfuncties moeten worden ingeschakeld?
  • Hoe vaak handtekeningen en engines worden bijgewerkt.
  • Hoe vaak scans worden uitgevoerd en wat ze bestrijken.
  • Welk gedrag wordt geblokkeerd of alleen gewaarschuwd?
  • Hoe logs worden verzameld en bewaard.
  • Welke aanvullende controles gelden voor die categorie?

Voor werkstations kan dat webfiltering en bijlagecontroles omvatten. Voor servers kan het strengere wijzigingscontrole en conservatievere geautomatiseerde reacties inhouden. Voor beheerderseindpunten kunt u strengere beveiliging, toegestane applicatielijsten en uitgebreide logging verplicht stellen, zodat u activiteit kunt reconstrueren als er iets misgaat.

Thuiswerkers en hybride werknemers verdienen speciale aandacht. Apparaten die langere tijd niet op het bedrijfsnetwerk of buiten uw gebruikelijke bereik voor extern beheer zijn, kunnen gemakkelijk niet meer aan de regelgeving voldoen. Studies naar verkeerde configuratie en configuratiedrift van eindpunten laten zien dat apparaten buiten het netwerk of onbeheerde apparaten bijzonder gevoelig zijn voor het missen van updates of het afwijken van de verwachte basislijn. Daarom verdienen ze expliciete aandacht in uw standaarden.

Omgaan met beperkingen op het gebied van remote, cloud, OT en legacy

Niet elke omgeving staat het gebruik van dezelfde agent of configuratie toe. Line-of-business-applicaties kunnen conflicteren met bepaalde scans, sommige besturingssystemen worden mogelijk niet ondersteund door uw gekozen tools en operationele technologie heeft vaak strikte prestatie- en wijzigingsbeheerbeperkingen die beperken wat u kunt installeren.

Deze realiteit laat u A.8.7 niet negeren; ze brengen u simpelweg naar de wereld van compenserende controles en gedocumenteerde uitzonderingen. Waar u geen volledige agent kunt gebruiken, kunt u in plaats daarvan netwerkisolatie, strengere toegangscontrole, extra monitoring aan netwerkgrenzen of frequentere back-ups en hersteltests afdwingen. Wanneer u mappen of processen moet uitsluiten van scannen, moet u die uitsluitingen behandelen als risicobeslissingen: goedgekeurd door iemand met bevoegdheid, gerechtvaardigd, vastgelegd en regelmatig gecontroleerd.

In al deze gevallen is transparantie cruciaal. U moet weten welke systemen afwijken van uw standaardbasislijn, waarom, welke alternatieve beschermingsmaatregelen van toepassing zijn en wanneer u zult beoordelen of die uitzonderingen nog steeds nodig zijn. Die vastlegging, vastgelegd in uw ISMS en waar relevant weergegeven in de Verklaringen van Toepasselijkheid van uw klanten, vormt een cruciaal onderdeel van hoe u aantoont dat uw A.8.7-implementatie risicogebaseerd en doelbewust is, in plaats van ontspannen of onopzettelijk.



ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Documenteren, monitoren en bewijzen A.8.7 voor audits en cliënten

Om te voldoen aan A.8.7 moet u kunnen aantonen wat u verwacht, dat het daadwerkelijk gebeurt en dat u het in de loop van de tijd bijstelt. Documentatie, monitoring en bewijs maken van goede bedoelingen een verhaal waar u achter kunt staan, samen met auditors, klanten en niet-securitymanagers die moeten kunnen aantonen dat hun bedrijfsrisico's onder controle zijn.

Zelfs een goed ontworpen basislijn voldoet niet op zichzelf aan A.8.7. De controle verwacht dat de beveiliging in de loop van de tijd wordt geïmplementeerd, gemonitord en verbeterd. Klanten en auditors willen die verdieping op een voor hen begrijpelijke manier zien, en MSP-eigenaren willen zien dat het de brandjes blussen vermindert in plaats van eraan toevoegt.

Als u bewijsmateriaal als een bijzaak beschouwt, zult u merken dat u zich moet haasten wanneer er een vragenlijst of audit verschijnt. Als u het in uw workflows inbouwt, kunt u de meeste vragen beantwoorden met rapporten die u al gebruikt om uw bedrijf te runnen en de voortgang in de loop van de tijd laten zien.

Uw A.8.7 bewijsketen

Een sterke bewijsketen voor malwarebescherming verbindt uw beleid, baselines, implementatiegegevens, detecties en beoordelingsactiviteiten tot één samenhangend beeld. Het doel is om de link tussen een schriftelijke verwachting en de daadwerkelijke uitvoering in de praktijk eenvoudig te maken.

In de praktijk betekent dit meestal:

  • Gedocumenteerd beleid en normen voor malwarebescherming.
  • Basisconfiguraties per laag, apparaat en omgevingstype.
  • Registraties van inzet, gezondheid van agenten en dekking.
  • Logboeken van detecties, reacties en incidenttickets.
  • Aantekeningen of notulen van beoordelingen en verbeteracties.

In de praktijk kunt u uw malwarebeleid en endpointstandaarden opslaan in uw ISMS, regelmatige dekkings- en compliancerapporten exporteren vanuit uw EDR en tools voor externe monitoring, incidenttickets koppelen aan de bijbehorende controles en een handvol belangrijke beslissingen van elke reviewvergadering vastleggen. Wanneer een auditor vraagt: "Laat me zien hoe u zich beschermt tegen malware", kunt u vervolgens een samenhangend pakket maken in plaats van een map vol losse screenshots. Een ISMS-platform zoals ISMS.online kan u helpen deze artefacten bij elkaar te houden, zodat de bewijsketen zichtbaar en eenvoudig te onderhouden is.

KPI's, reviews en klantrapportage

Metrieken en rapportages vormen de schakel tussen A.8.7 en continue verbetering. Ze brengen u verder dan point-in-time compliance en leiden u naar een eerlijker gesprek over hoe goed uw controles werken, waar ze aandacht behoeven en hoe uw servicekwaliteit de bedrijfsresultaten beïnvloedt. Specialistische analyses van het gebruik van metrics voor cyberrisicobeheer bevelen vaak indicatoren voor dekking en controlestatus aan als belangrijke maatstaven voor operationele beveiligingsprestaties, wat naadloos aansluit bij A.8.7.

In het ISMS.online State of Information Security-onderzoek van 2025 noemde ongeveer 41% van de organisaties het beheersen van risico's van derden en het bijhouden van de naleving door leveranciers als de grootste uitdagingen.

Nuttige indicatoren zijn onder meer:

  • Percentage van de eindpunten in het bereik met een actieve, gezonde agent.
  • Tijd die nodig is om engines en signaturen in alle estates bij te werken.
  • Detectiesnelheid van malware per tenant of segment.
  • Tijd tussen waarschuwing en inperking of herstel.
  • Aantal en leeftijd van openstaande uitzonderingen.
  • Aantal malwaregerelateerde incidenten of bijna-ongelukken.

Door deze cijfers regelmatig met de juiste mensen te bekijken, kunt u zien waar uw basislijn moet worden bijgesteld. Voor klanten schept begrijpelijke rapportage vertrouwen. Velen zullen geen diepgaande technische analyse willen, maar wel duidelijke uitspraken waarderen zoals "alle endpoints binnen de scope hadden actieve bescherming bij de laatste controle", "drie malware-incidenten werden gedetecteerd en binnen de afgesproken tijd ingedamd" en "één langdurige scanuitsluiting werd verwijderd na applicatie-updates".

Wanneer deze samenvattingen worden ondersteund door meer gedetailleerd bewijs dat op verzoek beschikbaar is, kunnen beide partijen zich zekerder voelen over hun gedeelde risico. U maakt het ook veel gemakkelijker om consistent te reageren wanneer vragenlijsten, verlengingen en due diligence-verzoeken binnenkomen, en u kunt MSP-leiders laten zien dat gedisciplineerd A.8.7-management ongepland werk vermindert in plaats van alleen maar overheadkosten verhoogt.



Boek vandaag nog een demo met ISMS.online

ISMS.online helpt u uw A.8.7-verplichtingen om te zetten in één samenhangend geheel dat u kunt delen met auditors, klanten en interne stakeholders. Door risico's, beleid, baselines, uitzonderingen en bewijsmateriaal op één plek te combineren, kunt u gemakkelijker aantonen dat u malwarerisico's beheerst en hoe uw MSP het bredere informatiebeveiligingssysteem van elke klant ondersteunt.

Bekijk uw A.8.7-verdieping op één plek

Met een ISMS-platform zoals ISMS.online kunt u uw malwarebeschermingsbeleid en -normen modelleren, deze rechtstreeks koppelen aan Bijlage A.8.7, uw basisconfiguraties voor verschillende niveaus en apparaattypen vastleggen en relevant bewijsmateriaal zoals rapporten, tickets en beoordelingsnotities koppelen. Dit maakt het veel gemakkelijker om aan te tonen hoe uw managed services de certificeringen van klanten en uw eigen interne assurancebehoeften ondersteunen, zonder dat u voor elke audit materiaal vanaf nul hoeft te verzamelen.

Voor MSP-leiders brengt dat centrale beeld ook duplicatie en hiaten aan het licht. U ziet waar verschillende klanten nog steeds legacy-benaderingen gebruiken, waar uitsluitingen zich opstapelen en waar uw baselines goed werken. Dat inzicht ondersteunt beslissingen over waar u vervolgens in moet investeren, hoe u uw marges kunt verbeteren door diensten te standaardiseren en hoe u uw beveiligingsvolwassenheid kunt presenteren in offertes en verlengingen.

Bewijs snel de waarde met een gerichte pilot

De overstap naar een meer gestructureerde aanpak hoeft geen groot, disruptief project te betekenen. Een pragmatische manier om te beginnen is door een of twee representatieve klanten te kiezen en een platform zoals ISMS.online te gebruiken om hun A.8.7-implementatie van begin tot eind te modelleren, van risico's en beleid tot baselines en bewijs.

Vervolgens kunt u de inspanning vergelijken die nodig is om u voor te bereiden op een audit of een klantvragenlijst te beantwoorden met uw huidige, ad-hocmethode, en diezelfde antwoorden te verzamelen vanuit één georganiseerde omgeving. Als u ziet hoeveel sneller en duidelijker de auditvoorbereiding wordt in de pilot, krijgt u een concrete case om die aanpak uit te breiden naar uw bredere klantenbestand en controlegroep.

Uiteindelijk gaat A.8.7 over meer dan alleen het afvinken van een clausule in een norm. Het gaat erom aan te tonen dat u malware kunt voorkomen, detecteren en beheersen op een manier die de reputatie van uw klanten en MSP's beschermt. Een goed ontworpen EDR- en antimalwarebasislijn, ondersteund door duidelijke documentatie en een geïntegreerd ISMS-platform zoals ISMS.online, biedt u de mogelijkheid om dat verhaal dagelijks te bewijzen, niet alleen wanneer een auditor langskomt. Wilt u zien hoe dit er in uw omgeving uit zou kunnen zien? Ons team kan u een korte demonstratie geven en u helpen bepalen of ISMS.online past bij uw huidige werkwijze.

Demo boeken


Veelgestelde Vragen / FAQ

Hoe verhoogt ISO 27001:2022 A.8.7 daadwerkelijk de lat voor malwarebescherming in een MSP?

ISO 27001:2022 A.8.7 verhoogt de lat van “we hebben overal AV” naar een ontworpen, herhaalbare malwarecontrole waarvan u kunt bewijzen dat het werkt in alle beheerde omgevingen. Voor een MSP betekent dit dat u kunt laten zien hoe u malwarerisico's identificeert, standaarden vaststelt, de service uitvoert en deze in de loop van de tijd verbetert voor elke representatieve klant.

Hoe ziet “goed genoeg” eruit onder A.8.7 voor een MSP?

Onder A.8.7 betekent ‘goed genoeg’ dat u een sceptische auditor of CISO van een bedrijf door een samenhangend, logisch verhaal kunt leiden:

  • U begrijpt het risico:

U hebt nagedacht over de realistische mate waarin malware uw klanten en uw eigen bedrijfsvoering kan schaden – van ransomware op externe laptops tot een worm op gedeelde servers – en u legt die risico's vast in uw ISMS.

  • Je hebt dat risico omgezet in beleid en scope:

U houdt een kort, goedgekeurd malware-/eindpuntbeveiligingsbeleid aan dat:

  • Legt het doel van de controle uit in zakelijke taal.
  • Definieert welke tenants, locaties, systemen en apparaattypen binnen het bereik vallen.
  • Verwijzingen naar Bijlage A.8.7 zodat de toewijzing expliciet is.
  • Verwijst naar ondersteunende controles zoals A.8.8 (kwetsbaarheidsbeheer) en A.5.24–A.5.28 (incidentafhandeling).
  • Je hebt een standaardbasislijn, niet ‘wat de ingenieur ook heeft ingesteld’:

U kunt schriftelijke, versiegecontroleerde basislijnen (standaard/uitgebreid/hoog risico) weergeven voor verschillende apparaatklassen die het volgende definiëren:

  • Minimale mogelijkheden (EDR/AV, realtime bescherming, gedragsbewaking, updates).
  • Scanschema's, logboekbewaring en waarschuwingsdrempels.
  • Striktere instellingen voor beheerderseindpunten, gedeelde machines en blootgestelde systemen.
  • Je bedient de dienst als een dienst:

Achter de agent die jij runt:

  • Draaiboeken voor triage, isolatie, opruiming en terugkeer in bedrijf.
  • Duidelijke verantwoordelijkheid voor het afstemmen van beleid en het beheren van uitsluitingen.
  • Tickettrajecten en statistieken die laten zien wat er daadwerkelijk gebeurt als er waarschuwingen worden afgegeven.
  • Regelmatige managementbeoordelingen waarbij wordt gekeken naar dekking, incidenten, uitzonderingen en afwijkingen.
  • Je traint de mensen die de controle kunnen maken of breken:

Uw eigen medewerkers begrijpen veilig beheer, toegang op afstand en het gebruik van geprivilegieerde tools. Waar in uw contracten staat dat u eindgebruikers zult beïnvloeden, geeft u duidelijke, eenvoudige richtlijnen over e-mailbijlagen, macro's en verwisselbare media in plaats van ze te verstoppen in pdf-documenten met beleidsregels.

Als u die draden snel aan elkaar kunt knopen – met beleid, normen, risicobeslissingen en bewijsmateriaal in één informatiebeveiligingsmanagementsysteem – wordt A.8.7 minder een valkuil en meer een kans om te laten zien hoe volwassen uw beheerde beveiliging werkelijk is. ISMS.online is ontworpen om u één centrale plek te bieden waar u alles kunt bewaren en auditklaar kunt houden.

Hoe kan een MSP A.8.7 omzetten in een standaard EDR/anti-malwareservice die schaalbaar is voor meerdere tenants?

U maakt A.8.7 schaalbaar door malwarebescherming te behandelen als een herhaalbaar product met een gedocumenteerde basislijn, niet een fris ontwerp voor elk nieuw logo. De basislijn definieert hoe 'goed' er in één keer uitziet; risiconiveaus en uitzonderingen laten je het verstandig aanpassen van klant tot klant.

Wat hoort er in een herbruikbare malware-basislijn voor MSP's?

Een solide basislijn bestaat doorgaans uit vier bouwstenen die u overal kunt hergebruiken en snel kunt rechtvaardigen.

1. Een duidelijk minimum voor elke apparaatklasse

U definieert wat elk apparaat in het bereik minimaal moet hebben:

  • Gebruikerseindpunten (laptops, desktops, tablets waar ondersteund):
  • Centraal beheerde EDR of anti-malware-agent.
  • Realtimebeveiliging en gedragsanalyse.
  • Automatische updates van handtekeningen/engines, met een verstandige terugvaloptie.
  • Web-/URL-filtering voor veelgebruikte bezorgpaden.
  • Mogelijkheid tot lokale isolatie bij vermoedelijke inbreuken.
  • Servers en kritieke systemen:
  • Vergelijkbare bescherming, afgestemd op het voorkomen van verstoring van de bedrijfsvoering.
  • Extra registratie en waarschuwingen bij ongebruikelijke activiteiten.
  • Striktere controle op beleidswijzigingen.
  • Beheer en jump hosts:
  • Striktere profielen met toegestane lijsten, uitgebreide logging en lagere tolerantie voor uitzonderingen.
  • Meervoudige authenticatie en beperkt gebruik.

Als u kunt aantonen dat "dit het minimum is dat elk apparaat per type krijgt", hebben klanten en auditors er direct vertrouwen in dat u niet per technicus improviseert.

2. Standaardprofielen in plaats van consolefolklore

U legt éénmalig schriftelijk vast hoe uw profielen zich gedragen:

  • Wat u direct blokkeert en wat u als waarschuwing geeft.
  • Wanneer volledige en snelle scans worden uitgevoerd en wie de fouten beoordeelt.
  • Hoe lang logboeken bewaard worden en waar ze opgeslagen worden.
  • Welke gebeurtenissen moeten altijd een ticket openen (bijvoorbeeld ransomware-achtig gedrag, herhaaldelijk geblokkeerde scripts).
  • Welke groepen eindpunten vallen in striktere profielen en waarom.

Deze profielen moeten versiebeheerd worden binnen uw ISMS, met wijzigingsgeschiedenis en goedkeuringen, zodat toekomstige audits gericht zijn op het weergeven van de huidige standaard en niet op het reconstrueren van de beste schattingen van vorig jaar.

3. Risicogebaseerde niveaus in plaats van merkgebaseerde behandeling

In plaats van de strengheid te baseren op het logo of de contractwaarde, koppelt u tenants en apparaten aan een eenvoudig risiconiveaumodel:

rij Wat drijft het? typische voorbeelden
Standaard Lage/normale bedrijfsimpact Interne kantoorgebruikers in niet-gereguleerde organisaties
Verbeterde Hogere financiële of operationele impact Financiële teams, gedeelde kiosken, technische pc's op locatie
Hoog risico Gereguleerde, bevoorrechte of aan internet blootgestelde workloads Huurders in de gezondheidszorg of financiële sector, administratieve eindpunten

De mapping is opgenomen in uw activa- en risicoregisters. Wanneer iemand vraagt ​​"waarom is deze omgeving meer geblokkeerd dan die andere?", kunt u daarbij verwijzen naar duidelijke criteria, en niet naar persoonlijkheid of onderhandelingsgeschiedenis.

4. Een gecontroleerd, zichtbaar uitzonderingsproces

Het echte leven brengt altijd verrassingen met zich mee – legacy-applicaties, prestatieproblemen, integratieproblemen. A.8.7 verbiedt uitzonderingen niet; het verwacht dat ze beheerd worden:

  • Elke afwijking van de basislijn wordt vastgelegd in een uitzonderingsregister.
  • In elk record worden de reden, het risico, de compenserende maatregelen en de goedkeuring weergegeven.
  • Uitzonderingen hebben een eigenaar en een beoordelingsdatum.
  • U kunt laten zien hoeveel er de afgelopen periode zijn gesloten of aangescherpt.

Wanneer uw basislijn, niveaus en uitzonderingen allemaal in ISMS.online staan ​​met een duidelijk eigenaarschap, gebeuren er drie goede dingen tegelijk:

  • Ingenieurs hoeven niet langer per tenant de ‘staminstellingen’ te onthouden.
  • Commerciële teams kunnen de service consistent beschrijven in voorstellen en verlengingen.
  • A.8.7 Gesprekken met auditors of klanten beperken zich tot het doornemen van de basislijn, het tiermodel en een aantal uitzonderingsvoorbeelden.

Als u wilt dat de basislijn aanvoelt als onderdeel van een samenhangend ISMS in plaats van als verspreide bestanden, kunt u de basislijn opbouwen en onderhouden in ISMS.online. Zo krijgt u vanaf dag één structuur en kunt u de basislijn hergebruiken.

Welke technische en operationele controles heeft een MSP echt nodig om zich veilig te voelen bij het ondertekenen van A.8.7?

U wilt naar uw servicecatalogus kunnen kijken en met een stalen gezicht kunnen zeggen dat elk apparaat in het bereik is zinvol beschermd en dat waarschuwingen worden betrouwbaar omgezet in actieDat vertrouwen hangt af van zowel de technologie die u implementeert als de manier waarop uw team deze uitvoert.

Welke technische controles mogen niet onderhandelbaar zijn?

Een realistische A.8.7-uitgelijnde eindpuntservice omvat vaak:

  • Dekking en inzetdiscipline:
  • Afdwingen dat alle eindpunten binnen het bereik, inclusief externe werknemers en nieuwe apparaten, de agent automatisch ontvangen.
  • Gezondheidscontroles voor ontbrekende of ongezonde agenten, met waarschuwingen op huurder- en portefeuilleniveau.
  • Integratie met uw RMM of provisioning tools om onboarding gaps te minimaliseren.
  • Beschermings- en detectiebreedte:
  • Continue scan van bestanden, processen en scripts.
  • Gedragsdetectie voor ransomware, misbruik van scripts en ongebruikelijke onderliggende processen.
  • Automatische updates met beveiligingen bij handmatige overrides.
  • Ondersteuning voor isolatie of een kill-switch, zodat technici een incident binnen enkele minuten, in plaats van uren, kunnen onder controle krijgen.
  • Ondersteunende controles stroomopwaarts en stroomafwaarts:
  • E-mail- en webfiltering om veelvoorkomende malware te blokkeren.
  • Patch- en configuratiebeheer om de blootstelling te beperken.
  • Geteste back-up en herstel, zodat u vol vertrouwen kunt herstellen als er een inbreuk op de eindpuntbeveiliging plaatsvindt.

Als u uw controle als de volledige stack beschouwt, en niet alleen als de agent, kunt u klanten gemakkelijker uitleggen hoe u malwarerisico's beheert langs meerdere paden, en niet alleen bij de laatste stap.

Welk operationeel bewijsmateriaal stelt accountants en kopers van ondernemingen gerust?

De meeste reviewers zijn minder geïnteresseerd in het logo van de agent en meer in de vraag of uw bedrijf zich consistent gedraagt ​​op de momenten dat het ertoe doet:

  • Gedocumenteerde draaiboeken:
  • Duidelijke stappen voor het sorteren van waarschuwingen op basis van ernst en context.
  • Gedefinieerde acties bij vermoedelijke inbreuken: isoleren, onderzoeken, opschonen, valideren.
  • Criteria voor wanneer en hoe forensische conservering moet worden uitgevoerd.
  • Punten waar u contactpersonen van klanten informeert of naar hen doorverwijst.
  • Serviceniveaus en verantwoording:
  • Stel een streefresponstijd in voor waarschuwingen met hoge prioriteit.
  • Benoemde eigenaren voor basislijnafstemming, uitsluitingslijsten en dekkingsstatistieken.
  • Afroepregelingen voor evenementen buiten kantoortijden, indien contractueel vereist.
  • Bewijs dat het proces verloopt zoals bedoeld:
  • Tickets worden gevolgd van detectie tot oplossing, met tijdstempels en uitkomsten.
  • Regelmatige samenvattingen met de gemiddelde tijd die nodig is om incidenten te beoordelen, in te dammen en af ​​te sluiten.
  • Aantekeningen van beoordelingen waarin patronen in detecties of fout-positieve resultaten tot wijzigingen hebben geleid.

Als die artefacten, statistieken en beslissingen gekoppeld zijn aan uw A.8.7-beleid en -basislijnen in ISMS.online, kunt u overstappen van "vertrouw ons, we hebben de controle" naar een eenvoudige uitleg van hoe de controle echt werkt. Die verschuiving valt over het algemeen goed in de smaak bij zowel auditors als grotere klanten die uw controles koppelen aan ISO 27001 en gerelateerde frameworks zoals NIST CSF of SOC 2.

Hoe kan een MSP A.8.7 documenteren, monitoren en rapporteren zodat audits aanvoelen als een normale maand en niet als een speciaal project?

A.8.7-audits voelen routinematig aan wanneer uw documentatie, dashboards en records spiegelen hoe u de service al uitvoert, in plaats van je te dwingen een parallel universum in te gaan. Het doel is een kleine, overzichtelijke verzameling artefacten die aansluiten bij de dagelijkse praktijk.

Welke documenten zijn de moeite waard om goed te bewaren?

U hebt geen tientallen beleidsregels nodig; u hebt er een paar nodig die actueel, met elkaar verbonden en gemakkelijk te vinden zijn:

  • Malware / eindpuntbeveiligingsbeleid:
  • Geeft het doel, de reikwijdte, de verantwoordelijkheden en de koppelingen naar Bijlage A.8.7 (en bijbehorende controles) aan.
  • Verwijst naar uw risicobeoordelingsmethode en basisnormen.
  • Bestaat in uw ISMS met duidelijke versiebeheer en goedkeuringen.
  • Basis- en profielnormen:
  • Beschrijf uw risiconiveaus, apparaatklassen en standaardconfiguraties.
  • Houd rekening met eventuele sectorspecifieke toevoegingen (bijvoorbeeld gezondheidszorg, financiën).
  • Worden doelbewust bijgewerkt, en niet door stille aanpassingen in een console.
  • Operationele procedures:
  • Onboarding: de manier waarop nieuwe huurders en activa in de service worden opgenomen.
  • Monitoring: hoe consoles en feeds worden gecontroleerd en door wie.
  • Incidentrespons: het traject van alarm naar inperking, herstel en afsluiting.
  • Uitzonderingsbeheer: hoe afwijkingen worden voorgesteld, goedgekeurd, geregistreerd en beoordeeld.
  • Uitzonderings- en afwijkingsregisters:
  • Ga na waar de werkelijkheid afwijkt van uw uitgangssituatie en waarom.
  • Toon eigenaren, compenserende controles en data voor beoordeling.

Door deze elementen samen te voegen in ISMS.online kunt u snel een auditpakket genereren en werken uw interne teams altijd met dezelfde referentieset.

Wat moet je in de gaten houden en hoe presenteer je dat zonder mensen te overspoelen met data?

Meestal kunt u de meeste A.8.7-vragen beantwoorden met een handvol reguliere meetgegevens:

  • Dekking en gezondheidsindicatoren:
  • % apparaten in scope met een gezond, actueel agent- en rechtenbeleid per tenant.
  • Aantal apparaten dat niet is gedekt, met redenen (nieuw, buiten gebruik, uitzondering).
  • Trendlijnen over een bepaalde tijd laten zien of de dekking stabiel, verbeterend of dalend is.
  • Detectie- en responsindicatoren:
  • Aantal en ernst van malwaredetecties per tenant en per niveau.
  • Gemiddelde en slechtste tijd voor het beoordelen en beheersen van kritieke gebeurtenissen.
  • Gevallen waarin de inperking afhankelijk was van back-up/herstel, en de resultaten.
  • Uitzonderings- en driftindicatoren:
  • Totaal aantal actieve uitsluitingen en gemiddelde leeftijd.
  • Aantal toegevoegde en verwijderde uitzonderingen per periode.
  • Er is een afwijking waargenomen tussen de beoogde en de werkelijke configuraties bij representatieve huurders.

Deze kunnen voor audits en klantbeoordelingen op een korte, voor mensen leesbare manier worden samengevat, bijvoorbeeld:

In het afgelopen kwartaal hebben we actieve bescherming gehandhaafd op 98.7% van de endpoints binnen uw omgeving. We hebben 11 malwaregerelateerde waarschuwingen onderzocht, drie bevestigde incidenten binnen de afgesproken responstijden vastgesteld en vijf verouderde uitsluitingen gesloten die niet langer nodig waren na applicatiewijzigingen.

Wanneer uw ISMS, uw endpoint-tools en uw rapportage op deze manier zijn afgestemd (iets dat ISMS.online ondersteunt), beginnen audits te lijken op een gestructureerde rondleiding door uw normale telemetrie in plaats van een zoektocht naar schermafbeeldingen.

Welke zwakke punten rondom A.8.7 vinden auditors en klanten doorgaans bij MSP's – en hoe blijft u voorop lopen?

De meest oncomfortabele bevindingen zijn te vinden op de plek waar u marketingbelofte, ticketgeschiedenis en formele normen komen niet overeenDoor de veelvoorkomende foutmodi te herkennen, kunt u uw A.8.7-besturingselement zo ontwerpen dat externe controles bevestigen wat u al weet, in plaats van dat er hiaten worden blootgelegd.

Waar struikelen MSP's het vaakst over A.8.7?

Typische patronen zijn onder meer:

  • Inconsistente of onvolledige dekking:
  • Externe apparaten en BYOD-apparaten die de agent nooit ontvangen.
  • Nieuwe huurders die zijn toegevoegd zonder dat ze aan een risicoklasse of basisprofiel zijn gekoppeld.
  • Kritieke systemen blijven te lang op standaard- of verouderde instellingen staan.
  • Ongeschreven basislijnen en ad-hoc-afstemming:
  • Ingenieurs weten ongeveer wat ze moeten configureren, maar er is geen overeengekomen schriftelijke standaard.
  • De instellingen variëren aanzienlijk tussen huurders met een vergelijkbaar risicoprofiel.
  • Er is geen verslag gedaan van de redenen waarom er voor strengere of lossere instellingen is gekozen.
  • Onbeheerde uitzonderingen en stille beleidsbreuken:
  • Grote uitsluitingen werden toegevoegd tijdens het oplossen van problemen en zijn nooit meer herzien.
  • Scannen is uitgeschakeld om prestatieproblemen op te lossen, zonder compenserende maatregelen.
  • Wanneer dergelijke zaken worden ontdekt, ontstaan ​​er discussies over wie de risicodrager is.
  • Dun en verspreid bewijs:
  • Logboeken en tickets worden opgeslagen in verschillende, niet met elkaar verbonden systemen.
  • Moeilijk om te bewijzen wat er tijdens een incident is gebeurd, afgezien van een paar chatberichten.
  • Er is geen eenvoudige manier om verbetering in de loop van de tijd aan te tonen.

Dit zijn precies de zwakke punten die grotere kopers zenuwachtig maken, vooral wanneer ze u vergelijken met ISO 27001 Bijlage A of hun interne beleid.

Hoe verandert een meer gedisciplineerde ISMS-gerichte aanpak het beeld?

Je hoeft geen gigantische onderneming te worden om deze valkuilen te vermijden. Een paar gedisciplineerde gewoontes, verankerd in een ISMS, kunnen al veel opleveren:

  • Pas uw toe standaard gelaagde basislijn voor elke nieuwe huurder en elk nieuw bezit, via uw onboardingsjablonen.
  • Voer een uit enkele, eenvoudige uitzonderingsworkflow waar alle afwijkingen worden vastgelegd, volgens een schema worden beoordeeld en worden gekoppeld aan risicobeslissingen.
  • Merk dekkings- en uitzonderingsrapporten een vast onderdeel van interne servicebeoordelingen en klantgesprekken, niet alleen tijdens het auditseizoen.
  • Leg lessen vast die u hebt geleerd uit incidenten en fout-positieve resultaten als updates voor basislijnen, draaiboeken en trainingsmateriaal.

Als u dit alles beheert via ISMS.online – waar beleid, risico’s, controles, uitzonderingen en bewijsmateriaal samenkomen – kunt u de vragen van A.8.7 rustig beantwoorden:

  • Dit is hoe wij ontworpen de controle.
  • Dit is hoe wij bedienen en meten het.
  • Dit is hoe wij het in de loop van de tijd.

Die helderheid leidt ertoe dat de discussie verschuift van ‘waarom ging dit mis?’ naar ‘hoe kunnen we deze kracht uitbreiden naar andere onderdelen van uw dienstverlening?’

Hoe kan een MSP EDR/anti-malware tools voor A.8.7 kiezen en verdedigen zonder vast te lopen in leveranciersdiscussies?

Bijlage A.8.7 maakt het niet uit welke leverancier u gebruikt; het gaat erom dat uw malwarebescherming optimaal is. geschikt voor het risico, consequent toegepast en bewezen effectiefHet is uw taak om aan te tonen dat uw gereedschapskeuzes het besturingsontwerp ondersteunen waartoe u zich heeft verbonden – en niet andersom.

Welke criteria moeten bepalend zijn voor de gereedschapsselectie voor A.8.7?

Een praktische manier om een ​​beslissing te nemen, is om te beginnen met uw basislijn en operationele beperkingen. Vraag u dan voor elk product het volgende af:

  • Ondersteunt het uw basislijn of dwingt het tot compromissen?
  • Kunt u de realtime-, gedrags- en isolatiemogelijkheden configureren die uw lagen nodig hebben?
  • Kunt u striktere profielen implementeren voor apparaten met een hoog risico zonder ingewikkelde oplossingen?
  • Biedt het de registratie die u nodig hebt om detectie, inperking en herstel aan te tonen?
  • Is het echt geschikt voor meerdere huurders?
  • Kunt u meerdere huurders vanuit één plek beheren zonder eindeloze beleidsduplicatie?
  • Kunt u wereldwijde standaarden afdwingen en tegelijkertijd gecontroleerde variatie per huurder toestaan?
  • Zijn er duidelijke op rollen gebaseerde toegangscontroles, zodat medewerkers alleen zien wat ze nodig hebben?
  • Past het in uw bestaande service stack?:
  • Integreert het met uw ticketing, SIEM en RMM, zodat meldingen automatisch worden omgezet in acties?
  • Kunt u identiteits-, e-mail- en back-uptools afstemmen op endpoint response?
  • Ondersteunt het het automatiseringsniveau dat uw team realistisch gezien kan beheren?
  • Is de operationele last acceptabel?:
  • Hoeveel afstemming is nodig om een ​​acceptabele signaal-ruisverhouding te bereiken?
  • Hoe gemakkelijk kunnen uw ingenieurs competentie verwerven en behouden?
  • Wat gebeurt er bij een grote upgrade of wijziging in het beleidsmodel?

Door uw selectie op deze manier te formuleren, kunt u ervoor zorgen dat de gesprekken met klanten en auditors gericht blijven op geschiktheid en effectiviteit, en niet op marketingclaims van leveranciers.

Zodra u op één of twee platforms hebt gestandaardiseerd, zou u drie eenvoudige vragen met bewijs moeten kunnen beantwoorden:

  1. Geschiktheid
  • Een korte onderbouwing in uw ISMS waarin u uitlegt waarom de tool goed past bij uw klantenbestand en risicoprofiel.
  • Een overzicht dat laat zien hoe belangrijke functies uw malwarebeleid en de A.8.7-basislijn ondersteunen.
  1. Implementatie en gedrag
  • Dekkings- en gezondheidsdashboards op huurder- en portefeuilleniveau.
  • Registraties van configuratiebeoordelingen en goedkeuringen van wijzigingen.
  • Voorbeeldincidentregistraties die laten zien hoe detectie, inperking en opruiming via de tool zijn uitgevoerd.
  1. Aanpassingsvermogen in de loop van de tijd
  • Een lichtgewicht proces voor het opnieuw evalueren van de toolset wanneer er nieuwe bedreigingen, regelgeving of klantvereisten ontstaan.
  • Voorbeelden van wijzigingen die u al hebt doorgevoerd, zoals het aanscherpen van de controle na een ransomwarecampagne in uw sector.

Door dit verhaal te beheren via ISMS.online – door risico's, controles, toolkeuzes, incidenten en reviews te koppelen – kunt u A.8.7-gesprekken verplaatsen van "welk product gebruikt u?" naar "zo houden wij malwarerisico's onder controle voor organisaties zoals die van u". Dat is het soort antwoord dat complianceteams, beveiligingsmanagers en directies ervan verzekert dat uw MSP niet alleen software installeert, maar ook een doordachte, op bewijs gebaseerde controle uitvoert.

Mark Sharron

Mark Sharron leidt Search & Generative AI Strategy bij ISMS.online. Hij richt zich op het communiceren over hoe ISO 27001, ISO 42001 en SOC 2 in de praktijk werken - door risico's te koppelen aan controles, beleid en bewijs, met auditklare traceerbaarheid. Mark werkt samen met product- en klantteams om deze logica te integreren in workflows en webcontent - en helpt organisaties zo om beveiliging, privacy en AI-governance met vertrouwen te begrijpen en te bewijzen.

Twitter

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.